SAP-Sicherheit

Kritische Schwachstellen in SAP-Implementierungen

| Redakteur: Peter Schmitz

Zu einer Schwachstelle im Invoker Servlet hat das US-CERT-Behörde im Mai 2016 zum ersten Mal eine Sicherheitswarnung für SAP-Systeme abgegeben.
Zu einer Schwachstelle im Invoker Servlet hat das US-CERT-Behörde im Mai 2016 zum ersten Mal eine Sicherheitswarnung für SAP-Systeme abgegeben. (Bild: US-CERT)

Der Risiko-Analyse-Service Onapsis Business Risk Illustration hat Schwachstellen-Scans in den SAP-Implementierungen von über 100 Unternehmen aus den Bereichen Produktion, Öl und Gas, Luftfahrt sowie Pharma durchgeführt. Diese offenbarten hochkritische Sicherheitslücken.

Onapsis hat mit seinem zu Anfang 2016 eingeführten Risiko-Analyse-Service, der Onapsis Business Risk Illustration (BRI) zur Einschätzung von SAP-Risiken, ein Bild der SAP-Sicherheitslage in verschiedenen Branchen gezeichnet. Die Schwachstellen-Scans in den SAP-Implementierungen von Unternehmen aus den Bereichen Produktion, Öl und Gas, Luftfahrt sowie Pharma offenbarten hochkritische Sicherheitslücken. In vielen Fällen war der Remote-Zugriff auf SAP-Systeme und damit eine Fernsteuerung von Applikationen und Datenverkehr möglich. Bisher hat Onapsis in über 100 Unternehmen die individuellen SAP-Implementierungen vor Ort analysiert und erste Empfehlungen abgegeben.

Dabei fanden sich 480 Schwachstellen - 142 davon nach den Kriterien des Common Vulnerability Scoring Systems (CSSV) „critical“ oder „high“ und daher mit hoher Priorität zu schließen. Bei Öl- und Gas-fördernden Unternehmen entdeckten die Spezialisten 127 Schwachstellen. Darunter befanden sich viele kritische Schwachstellen, die Angreifern einen Zugriff auf unternehmenskritische Informationen in SAP-Systemen verschaffen würden. Bei Unternehmen der Luftfahrt fanden sich 145 Schwachstellen, darunter verschiedene kritische Risiken, die Angreifern das Lesen, Schreiben, Löschen oder Kopieren von unternehmenskritischen Informationen ermöglichen. In der Pharmaindustrie entdeckten die Experten 138 Schwachstellen. Mehrere kritische Lücken würden beim Exploit einem Angreifer die komplette Kontrolle per Fernzugriff über Server für SAP-Anwendungen verschaffen.

Unerlaubte Fernzugriffe

Am weitesten verbreitet sind in allen Branchen verschiedene Mechanismen des Fernzugriffes. Schwachstellen ermöglichten hier den Zugriff auf SAP-Instanzen, administrative Dienste und RFC-Server. Ebenso besteht die Möglichkeit, anonymisiert Verbindungen aufzunehmen oder unverschlüsselte RFC-Verbindungen abzuhören. In der Folge könnten Angreifer Informationen abfangen, auslesen, schreiben oder löschen. Darüber hinaus steuern sie möglicherweise so den Datenverkehr und fragen Konfigurationsparameter ab, um weitere Angriffe vorzubereiten. Aber auch Denial-of-Service-Angriffe oder die komplette Kontrolle über Systeme hätten sich bei den gescannten Systemen durchführen lassen. Man-in-the-middle-Angriffe oder Traffic Sniffing würden unter anderem die Abfrage von Zugangsdaten ermöglichen.

Eine unzureichende Sicherung des Invoker Servlet ermöglicht in vielen Fällen anonymen Angreifern über Fernzugriff den Login auf SAP-Java-Systeme zur Umgehung externer Authentifizierungsmechanismen oder das willkürliche Anlegen von SAP-Usern zur Durchführung betrügerischer Aktivitäten. Diese Lücke fand sich in 36 Unternehmen in den USA, Großbritannien, Deutschland, China, Indien, Japan und Südkorea. Dramatisch und zugleich unverständlich, denn für diese Lücke existiert schon seit sechs Jahren ein SAP-Patch. Aktualisierte SAP-Systeme sind nicht betroffen. Die US-CERT-Behörde hatte zu dieser Lücke im Mai dieses Jahres zum ersten Mal eine Sicherheitswarnung für SAP-Systeme abgegeben.

SAP JAVA-Plattformen bieten eine Reihe eingebauter Funktionalitäten und ein umfassendes Prozess-Framework von Libraries und Dienstleistungen für die Entwicklung und Bereitstellung von SAP-Anwendungen in Java. Eine dieser Funktionalitäten ist das Invoker Servlet. Dieses gehört standardmäßig zu den J2EE-Spezifikationen von Sun (jetzt Oracle). Das Servlet wurde als schnelles Entwicklungstool bereitgestellt, um so JAVA-Anwendungen zu testen. Bei einem aktivierten Invoker Servlet können Entwickler und Anwender Servlets ohne Authentifizierungs- oder Autorisierungskontrolle direkt aufrufen.

„Die Ergebnisse zeigen, dass in vielen Branchen in Sachen SAP-Sicherheit noch ein enormer Nachholbedarf bei der Überwachung der SAP-Sicherheit besteht. Schwachstellen in den SAP-Implementierungen führen zu einer potentiellen Gefährdung unternehmenskritischer Geschäftsprozesse und Daten “, sagt Mariano Nunez, CEO und Mitbegründer von Onapsis. „Die Schwachstellen, die wir unseren Kunden vertraulich aufzeigen, lassen sich dabei oft mit vorhandenen Patches schließen. In vielen Unternehmen fehlt aber bereits die Sichtbarkeit der Schwachstellen in SAP-Systemen, die notwendigen Ressourcen und eindeutig zugewiesene Verantwortlichkeiten im Rahmen einer SAP-Sicherheitspolitik.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44239572 / SAP-Sicherheit)